A 一 粳 


-日 
=- 刁 | 
、 


a 
LNINAaAIVD. 


第 37 卷 第 3 期 计算 机 应 用 研究 一 Vol 


37 
录用 定稿 Application Research of Computers Accepted Paper 


基于 HBase 的 细 粒 度 访问 控制 方法 研究 
黄 良 强 ， 朱 纤 ， 陶 需 


(西南 交通 大 学 信息 科学 与 技术 学 院 , 成 都 611756) 


摘 要 : 为 增强 HBase 的 安全 访问 控制 能 力 ， 提 出 一 种 针对 HBase 的 细 粒 度 访问 控制 方法 。 该 方法 通过 修改 优化 
HBase 源码 , 扩展 访问 控制 权限 、 重 写 访问 控制 器 达到 细 粒 度 访问 控制 的 目的 。 归纳 出 应 用 于 HBase 的 RBAC 模型 ， 
内 建 数据 库 角色 以 解决 权限 扩展 后 细 粒 度 权 限 管 理 难 度 增 大 的 问题 。 通 过 设计 实验 测试 用 例 ， 验 证 了 提出 的 细 粒 度 
访问 控制 方法 能 更 全 面 地 保护 HBase 数据 ， 解决 了 原 有 方法 带 来 的 权限 过 粗 的 问题 ， 降 低 了 数据 可 能 被 恶意 地 执行 
修改 、 删 除 等 操作 所 带 来 的 巨大 安全 风险 。 
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Research on fine-grained access control method based on HBase 


Huang Liangqiang, Zhu Yan, Tao Xiao 
(School of Information Science & Technology, Southwest Jiaotong University, Chengdu 611756, China) 


下 Abstract: In order to enhance the access control ability of HBase, this paper proposed a fine-grained access control method 
for HBase. This method achieves the purpose of fine-grained access control by modifying and optimizing the HBase source 
code, extending the access control permissions, and rewriting the AccessController. Moreover, this paper generalizes the 
RBAC model that applied in HBase, and use built-in database roles to solve the problem that fine-grained permissions 
management becomes more difficult after extending permissions. By designing experimental test cases, it is verified that the 
proposed fine-grained access control method can protect HBase data more comprehensively. This paper solves the problem 
that excessive permissions caused by the original method, and reduces the huge security risk caused by data may be 
maliciously performing operations such as modification and deletion, etc. 
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0 引言 Cosmos DB。 不 同类 型 的 NoSQL 数据 库 采用 不 同 的 架构 模 
型 ， 实 现 访 问 控 制 的 方法 也 不 尽 相 同 。 
NoSQL 数据 库 因 其 对 海量 数据 有 着 高 效 的 管理 能 力 , 广 MongoDB 采用 RBAC 技术 ， 分 为 内 建 数据 库 角色 和 用 
泛 应 用 于 各 类 大 数据 生产 场景 ， 例 如 ， 阿 里 巴巴 集团 早 在 户 自 定义 角色 两 种 。 内 建 角 色 提 供 了 数据 库 系 统 中 常用 的 权 
2011 年 就 开始 把 HBase 投入 到 上 千 台 节点 的 集群 中 用 于 淘 限 集 合 ， 权 限 粒度 较 粗 ， 一 个 权限 包括 一 系列 操作 ;， 自 定义 
宝 历 史 交 易 记 录 、 蚂 蚁 安全 风 控 等 大 数据 的 存储 。 然 而 ， 其 色 可 实现 细 粒 度 权限 授权 ， 但 是 权限 操作 范围 只 是 控制 在 
性 问题 也 被 业界 广泛 关注 。 大 多 数 NoSQL 数据 据 库 或 集合 级 别 ， 没 有 进一步 深入 对 集合 中 字段 的 访问 控 
提供 简单 的 数据 保护 支持 ， 无 法 满足 实际 生产 中 对 数 ] 。Microsoft Azure Cosmos DB 使 用 主 密 钥 和 资源 令 牌 进行 
性 能 的 需求 ， 特 别 是 对 较 敏 感 数据 的 保护 。 例 如 ， 在 医院 份 验证 ， 资 源 令 牌 与 数据 库 中 的 权限 相关 联 ， 确 定 用 户 是 
据 应 用 场景 中 ， 病 人 的 姓名 、 疾 病史 等 敏感 信息 是 需要 被 ”和 否 对 数据 库 中 的 应 用 程序 资源 拥有 访问 权限 〈 读 写 、 只 读 或 
重点 保护 的 数据 对 象 。HBase 作为 一 种 NoSQL 列 式 存储 数 ”无 访问 权限 ) ， 应 用 程序 资源 包括 集合 、 文 档 、 附 件 、 存 储 
据 库 技术 ， 同 样 存 在 以 上 安全 性 问题 ， 因 此 ， 研 究 如 何 增强 过程 、 触 发 器 和 用 户 定 义 函 数 ， 身 份 验证 时 ， 使 用 资源 令 牌 
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对 
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部 
症 坦 泛 过 


HBase 的 访问 控制 能 力 成 为 一 种 迫切 需求 。 允许 或 拒绝 访问 资源 P3l。 
关系 型 数据 库 在 访问 控制 技术 理论 与 应 用 方面 更 加 成 熟 HBase 提供 六 种 简单 的 权限 内， 分别 是 Superuser、 


完备 。 占 据 着 数据 库 引 擎 排行 榜 所 前 三 的 关系 型 数据 库 Admin(A) 、Create(C) 、Write(W) 、Read(R) 、 Execute(X) 。 

Oracle、MySQL、Microsoft SQL Server 都 采用 基于 角色 的 访 Superuser 作为 超级 用 户 ， 可 执行 任意 数据 库 操作 ;因此 可 授 
问 控制 (RBAC) 技术 ， 实 现 了 表 级 、 列 级 等 细 粒 度 对 象 ， 予 普通 用 户 的 只 能 是 另外 五 种 权限 。 通 过 分 析 HBase ACL 
插入 、 修 改 、 删 除 等 细 粒 度 操 作 两 方面 的 访问 控制 。 而 新 诞 。 Matrix 和 实验 验证 发 现 ， 如 果 某 个 用 户 拥有 Write 权限 ， 则 
生 的 NoSQL 数据 库 类 型 多 样 ， 例 如 ， 列 式 存 储 的 HBase、 该 用 户 可 以 执行 如 put、delete、append、increment 等 写 操作 。 
Cassandra， 文 档 存 储 的 MongoDB、Couchbase， 键 值 对 存储 。 ”在 实际 生产 应 用 中 ， 若 要 控制 用 户 只 能 写 入 数据 而 不 能 删除 
的 Redis、Memcached， 图 存储 的 Neo4j、Microsoft Azure 数据 ,按照 HBase 现 有 的 粗 粒度 权限 授权 则 无 法 满足 这 样 的 
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操作 控制 需求 。 针 对 以 上 HBase 的 问题 ， 本 文 的 
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基于 HBase 的 细 粒 度 访问 控制 方法 研究 


的 和 


意义 在 于 解决 HBase 原 有 粗 粒 度 权限 控制 方法 的 业 端 ， 实现 


细 粒 度 权 限 控制 ， 增 强 HBase 
关于 NoSQL 数据 库 
Colombo 等 人 四 提出 了 一 种 通用 的 针对 NoSQL 数据 库 的 基于 


粒度 


的 安全 访问 控制 能 力 。 
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1.2 权限 控制 级 别 与 权限 判定 算法 


HBase 提供 五 种 权限 控制 级 别 ， 如 图 1 所 示 。 五 种 级 别 
呈现 包含 关系 ， 优 先 级 从 全 局 到 列 依次 降低 ， 低 级 别 自动 继 


访问 控制 方法 的 天 


的 可 行 性 


九 ， 


属性 的 访问 控制 (ABAC) 方法 ， 该 方法 借助 SQL++ 技 术 [9 
实现 ， 在 Couchbase 4.5 平台 上 验证 了 所 提出 方法 


牛 
o 


然而 , SQL++ 仅 支持 如 MongoDB、Couchbase、 JSONiq、Hive 


等 
= 和 


NoSQL 或 NewSQL 数据 库 ， 不 支持 HBase; 此 外 ， 他 们 


也 未 说 明 在 不 支持 SQL++ 的 NoSQL 数据 库 平台 上 如 何 实施 


提出 的 旨 
的 问题 ， 


文献 [8] 在 MongoDB 中 集成 使 
于 内 容 的 访问 控制 技术 ， 把 MongoDB 


数据 库 。 文 献 [9] 中 ， 蔡 平 在 
过 修改 HBase 源码 来 拓展 访问 控 币 
是 作者 仅仅 任意 设 定 了 三 个 权限 力 


性 ， 没 
出 现 的 


问题 


给 出 如 何 划分 引 


的 方法 适用 于 


究 HBase 的 安全 改 
I 权限 的 方法 是 可 行 的 ， 
的 方法 的 可 行 
也 没有 探讨 可 能 


0 以 验证 提 
粒度 权限 的 依据 ， 


粒度 访问 控制 方法 ,文献 [7] 存 在 许多 与 文献 [5] 相 同 
尽管 作者 声称 提出 于 


于 NoSQL 数据 库 ， 
却 未 解释 如 何在 NoSQL 数据 库 平 台 上 实现 。 


RBAC、ABAC 和 基 


定制 成 为 一 个 私 


时 ， 提 出 通 
El 


给 出 解决 方案 。 文 献 [10] 中 ，Lai 等 人 在 保留 


的 


人 


HBase 现 有 访问 控制 权限 的 条 件 下 , 按照 HBase Shell 命令 的 
读 、 写 等 类 别 为 依据 划分 细 粒 度 权 限 ， 采 用 XACML 技术 来 


表达 用 户 角色 授权 


言 息 ， 通 过 定 秆 


来 实现 提出 的 


粒度 访问 控制 方法 。 


于 划分 由 


本 文 针 对 HBase 


整 ， 主 要 包括 : a) 分 析 了 HBase 现 有 的 访问 控制 方法 ， 理 
命令 类 别 、Shell 命令 与 Java API 的 调用 关系 ， 给 出 
田 粒 度 权 限 划 分 依据 ;:b) 通过 归纳 应 用 于 HBase 的 RBAC 模 
限 划分 造成 的 权限 管 
尺码 ， 扩 展 权 限 列 表 
所 提出 的 细 粒 度 访问 控制 方法 ;d) 
判 方法 的 有 效 性 。 


清 Shell 命令 类 另 


MYS xf 
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型 和 内 建 数据 库 角 色 ， 


Ee 


[I 重 写 访问 
设计 测试 


粒度 权限 的 依 ## 


j 例 , 验证 所 提出 的 允 


提出 的 旨 


居 不 够 严 诺 ， 没 
权限 之 间 是 否 存在 权限 依赖 关系 等 问题 。 
粒度 访问 


观察 者 类 型 的 协 处理 器 0 
文献 [10] 的 不 足 之 处 在 
考虑 划分 的 细 粒 度 


控制 方法 更 全 


田 元 


解决 了 细 


粒度 权 
里 难度 增 大 的 问题 ;c〉 通 过 修改 优化 源 
空 制 器 ， 实 现 


粒度 访问 控 人 


1 ， 细 粒度 访问 控制 方法 设计 


1.1 


HBase 访问 控制 框架 


HBase 访问 控制 | 机 


三 


匡 架 主要 包括 如 下 三 个 模块 : 
a) 操 作 接 口 模块 , 它 是 HBase 提供 给 用 户 执行 数据 库 操作 


和 授权 / 撤 权 操作 的 接 
端 方式 。 

b) 访 问 控制 模块 ， 
撤 权 操作 时 ， 
息 ; 执行 数据 库 操 
操作 请 求 的 权限 。 
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该 模块 / 


于 判定 


co) 权 限 存储 模块 


HBase 采 | 
式 如 


F 
访问 控制 列表 (ACL) 
表 1 所 示 。HBase 钢 


户 和 和 角 


” fH 


省 使 用 名 称 为 


口 ， 有 Shell 命令 和 Java API 两 种 客户 


用 于 拦截 用 户 的 操作 请 求 。 执 行 授 权 / 
该 模块 与 权限 存储 模块 交互 ， 
作 时 ， 于 


写 入 /删除 授权 信 
户 是 否 拥有 执行 


色 的 授权 信息 。 
的 方式 实现 ，ACL 的 表 模 
default 的 命名 空间 


CNamespace， 等 同 于 关系 型 数据 库 管理 系统 中 的 数据 库 ) ， 


使 ) 


j@ 字 符 区 分 是 命名 空间 级 别 


别 授权 ， 也 使 ) 


表 1 


Table 


j@ 字 符 区 分 是 对 


授权 还 是 命名 空间 下 的 


j 户 授权 还 是 对 角 
ACL 的 表 模 式 


1 Table schema of ACL 


氏 级 


色 授权 。 


行 键 


数据 


<@ 命 名 空间 | 命名 空山 


间 : 表 | 表 > 


族 :{< 


j 户 |@ 


有色 > [, 列 族 [, 列 ]]: 权限 旨 


oe } 


A 


东 


承 上 级 的 授权 。 例如; 授予 用 户 A 在 命名 空间 NS 上 有 “ 读 ” 
权限 ， 则 4 在 该 NS 下 的 所 有 树 节 点 上 都 有 “ 读 ” 权 限 。 


全 局 


命名 空间 命名 空间 


图 1 


权限 控制 级 别 与 优先 级 
Fig. 1 Permission control level and priority 
户 提交 操作 请 求 后 ，HBase 向 集群 节点 分 发 操作 请 求 
执行。 在 操作 请 求 执行 前 ， 访 问 控 制 器 会 捕获 操作 请 求 ， 
并 判定 该 用 户 是 否 具 有 执行 操作 请 求 的 权限 。 
权限 判定 算法 描述 如 下 : 
参数 定义 : ul= 用 户 U 角 色 组 ; ns= 命 名 空间 名 称 ; table= 表 名 称 ; c 广 
族 名 称 ; cq= 列 名 称 ; action= 执 行 操作 请 求 所 需 的 权限 。 
输入 参数 列表 : <ul [, ns [; table [, cf [, cq]]]], action> 
输出 : true 表示 权限 判定 通过 ， 抛 出 权限 异常 信息 表示 判定 失败 ， 
拒绝 执行 操作 请 求 。 
for i=0 to ul.length do 
全 局 级 权限 匹配 ， 参 数列 表 <ul[i], action> 
让 全 局 级 匹配 成 功 then 
结束 循环 ， 返 区 
end 让 
让 ns 不 为 空 then 
命名 空间 级 权限 匹配 ， 参 数列 表 <ul[i], ns, action> 
if 命名 空间 级 匹配 成 功 then 
结束 循环 ， 返 区 
end 让 
end 让 
iftable 不 为 空 then 
表 级 权限 匹配 ， 参 数列 表 <ul[i], ns, table, action> 
if 表 级 匹配 成 功 then 
结束 循环 ， 返 区 
end 让 
end 让 
ifcf 不 为 空 then 
列 族 级 权限 匹配 ， 参 数列 表 <ul[i], ns, table, cf, action> 
站 列 族 级 匹配 成 功 then 
结束 循环 ， 返 区 
end 让 
end 让 
这 cq 不 为 空 then 
列 级 别 权限 匹配 ， 参 数列 表 <ul[i, ns, table, cf, cq, action> 
站 列 级 匹配 成 功 then 
结束 循环 ， 返 区 
end 让 
end 让 
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end for 


黄 良 强 ， 等 : 


由 出 权限 异常 信息 
算法 主体 中 , 权限 匹配 规则 是 根据 输入 参数 在 ACL 表 中 


败 。 


1.3” 细 粒度 权限 设计 
API 是 HBase 提供 给 
是 基于 API 编写 的 功能 封装 。 例 如 ，Shell 命令 truncate 的 功 


查找 是 否 存在 相同 的 授权 


言 息 ， 有 则 匹配 成 功 ， 否 则 匹配 失 


t 


j 户 原子 性 的 操作 方式 , Shell 命令 


下 
能 是 清空 表 内 数据 ， 保 留 表 的 属性 。 为 完成 该 任务 ，Shell 
命令 的 执行 步骤 如 下 ; 

a) 执 行 获取 表 描 述 信息 操作 。 

b) 执 行 判断 表 是 否 停 用 操作 。 

c 如 果 表 已 停 用 则 执行 清空 表 内 数据 操作 ， 和 否则 终止 任 
务 执行 。 

d) 执 行 删除 表 操 作 。 

e) 按 照 步 骤 a) 获取 得 到 的 表 描述 信息 执行 重建 表 操作 。 
其 中， 每 一 步 操作 调 个 API， 如 步骤 a) 调用 


getTableDescriptor， 该 API 对 应 的 Shell 命令 为 descripe。 命 


令 truncate i 


峰 用 了 5 个 API, 可 见 Shell 命令 会 调用 
个 API 来 完成 对 应 的 任务 。 此 外 ,Shell 命令 没有 履 盖 所 有 的 


一 个 或 多 


API， 例 如 ) 
果 按 照 文 


献 [10] 中 对 照 shell 命令 划分 台 
shell 命令 划分 为 一 种 权限 的 方法 ,所 划分 出 的 细 粒 度 权 限 可 
能 无 法 控制 相关 API， 细 粒度 权限 划分 不 完整 以 及 部 分 颖 


于 关闭 集群 的 stopMaster、shutdown 等 API。 如 
粒度 权限 ， 即 一 个 


交 


于 


度 权限 存在 依赖 关系 ， 
'drop' 和 和 'create' 权 限 ， 从 而 造成 HBase 安全 隐患 。 
对 细 粒 度 权限 划分 不 完整 、 部 分 
依赖 关系 的 问题 ， 本 文 提出 一 种 按 API 进行 细 粒 度 权 限 划 分 
的 方法 ， 从 API 的 角度 实现 多 
完整 、 权 限 之 间 不 存在 依赖 关系 。 

首先 参照 SQL 语句 中 数据 定义 语句 (DDL) 、 数 据 操 纵 
(DML) 等 命令 集合 ， 把 会 造成 HBase 安全 隐患 的 API 


列 如 ， 权 限 'truancate' 会 依赖 'describe'、 


’ 


粒度 权限 之 间 存 在 


粒度 访问 控制 ， 保 证 权限 划分 


按照 其 功能 类 型 进行 归 类 ， 共 


8 种 API 类 别 ， 如 表 2 所 示 。 


其 目的 在 于 能 根据 


API 类 别 更 加 集中 地 管理 归 类 前 凌乱 的 


modifyColumn 


vi 人 Ah 
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体操 作 ， 例 如 ，DDL 类 别 


表 2 的 基础 上 
示 。 


归结 出 8 种 类 别 ，46 种 


表 3 API 类 别 与 具体 操作 集合 
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中 的 modifyTable、addColumn、 
、deleteColumn 可 归结 为 ALTER 操作 。 本 文 在 
具体 操作 ， 如 表 3 所 


Table 3 APItypes and concrete operation sets 


类 别 具体 操作 集合 
APPEND, DELETE, GET, INCR, TRUNCATE, SCAN, 
DML PUT 
DD ALTER, CREATE, DESCRIBE, DISABLE, ENABLE, 
LIST, DROP 
Security GRANT, REVOKE, USER_PERMISSION 
LIST_SNAPSHOT, CLONE_SNAPSHOT, 
Snapshot RESTORE_SNAPSHOT, DELETE_SNAPSHOT, 
SNAPSHOT 
CREATE_NAMESPACE, DROP_ NAMESPACE， 
Namespace ALTER NAMESPACE, DESCRIBE_NAMESPACE， 
LIST_NAMESPACE 
MOVE, ASSIGN, UNASSIGN, OFFLINE, SPLIT, 
BALANCER, COMPACT SHUTDOWN, 
BALANCE_SWITCH, STOP_MASTER, FLUSH, 
os MERGE_REGION, WAL_ROLL, BULKLOAD, 
OPEN_REGION, CLOSE_REGION, 
STOP_REGION_SERVER 
Quotas QUOTA 
Endpoint EXECUTE 
所 提出 的 细 粒 度 权 限 划 分 依据 是 : 将 造成 HBase 安全 隐 


患 的 API 归 为 多 个 类 别 ， 每 个 类 别 划分 为 多 个 
体操 作 划 分 为 一 种 权限 。 根 据 这 种 划分 思想 ， 共 划分 为 
粒度 权限 ， 部 分 权限 类 别 与 权限 集合 


种 


8 种 权限 类 别 ， 


如 表 4 所 示 。 


46 种 旨 


具体 操作 ， 


7 


表 4 中 ， 授 权 级 别 单元 格 值 G 表示 全 局 级 、N 表示 命名 空间 级 、T 
表示 表 级 、CF 表示 列 族 级 、CQ 表示 列 级 。 


API。 表 4 部 分 权限 类 别 与 权限 集合 
表 2 HBase 中 API 类 别 Table 4 Partial permission types and permission sets 
Table 2 APItypes in HBase (a) DML 权限 类 别 
类 别 API 集合 (a) DML permission type 
appendAfterRowLock, append, delete, getOp, increment, 权限 名 称 权限 控制 的 功能 授权 级 别 
DML checkAndDelete, put, checkAndPut, ...... APPEND 单元 格 拼接 新 值 GIN|TICFICQ 
modifyTable, addColumn, modifyColumn, deleteColumn, DELETE 1 除 单 元 格 数据 GIN|TICFICQ 
i createTable, disableTable, deleteTable, GET 获取 某 行 记录 GIN|TICFICQ 
enableTable, ...... INCR 计数 器 单元 格 值 做 加 减 GINITICEFICQ 
Security grant, revoke, getUserPermissions PUT 新 增 记录 GINITICFICQ 
snapshot, listSnapshot, cloneSnapshot, restoreSnapshot, SCAN 扫描 表 数 据 GIN|TICFICQ 
Shpshot deleteSnapshot TRUNCATE 清空 表 数 据 GINIT 
createNamespace, deleteNamespace, modifyNamespace, (b) DDL 权限 类 别 
Namespace getNamespaceDescriptor, listNamespaceDescriptors (b) DDL permission type 
move, assign, unassign, regionOffline, balance, 权限 名 称 权限 控制 的 功能 授权 级 别 
balanceSwitch, flushTable, compact, openRegion, ALTER 更 改 表 / 列 族 定 义 GIN|TICF 
Tools closeRegion, split, shutdown, stopMaster, mergeRegions, CREATE 创建 表 GIN 
StopRegionServer, ...... DESCRIBE 获取 表 描 述 信息 GINIT 
Olas setUserQuota (global level), setUserQuota(namespace DISABLE 享用 表 GINIT 
level), setNamespaceQuota, setTableOQuota, ...... DROP | 除 表 GIN|IT 
Endpoint invoke ENABLE 启用 表 GINIT 
为 保证 划分 的 细 粒 度 权限 在 实际 应 用 中 更 具 合 理性 ， 对 LIST 列 出 所 有 表 GINIT 


表 2 进 


步 分 析 ， 可 把 各 类 别 中 相近 功能 的 API 归结 为 一 种 


黄 良 强 ， 等 : 


(c) Security 权限 类 别 


(c) Security permission type 
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eS 
三 HH » 


已 在 访问 控制 模块 中 能 做 到 
制 ， 采用 了 RBAC 模型 ， 通 过 内 建 数据 库 角 
色 来 


naxXIV 
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粒度 权限 的 访问 控 


色 集 中 管理 细 粒 


权限 名 称 权限 控制 的 功能 授权 级 别 度 权限 。MongoDB 通过 内 建 数据 库 角 理 常 用 的 权限 
GRANT 授予 用 户 权 限 GIN|TICFICQ 集合 。 本 文 参考 SQL Server 和 MongoDB 在 实际 生产 中 积累 
REVOKE 撤销 用 户 权限 GINITICFIcQ 的 数据 库 权 限 管理 经 验 ， 内 建 如 表 5 所 示 的 数据 库 角 色 ， 共 
USER_PERMISSION 列 出 用 户 权限 GINITICFICQ 
1.4 调整 授权 命令 语法 
HBase 提供 grant 方法 授予 用 户 权 限 ， 使 用 revoke 方法 
撤销 用 户 权 限 。 授 权 命令 语法 格式 如 图 2 所 示 ， 而 撤 权 命令 
语法 格式 为 图 2 中 grant 蔡 换 为 revoke， 并 去 掉 权限 集合 项 。 
授权 操作 权限 集合 列 族 
grant <User|@Rol e>,<Permissions> [,<TablelNS:Table|l@NS> [,CF [,CQ]]] 
y 图 3 应 用 于 HBase 的 RBAC 模型 
户 或 角色 命名 空间 或 表 列 Fig.3 RBAC model that applied in HBase 
图 2 HBase 授权 命令 语法 格式 表 5 内 建 数据 库 角 色 
Fig.2 Authorization command syntax format of HBase Table 5 Built-in database roles 
命令 语法 中 使 用 @ 字 符 表 示 对 角色 授权 ， 也 使 用 @ 字 符 色 描述 权限 
表示 在 命名 空间 级 别 授权 。HBase 原 有 的 五 种 权限 ， 分 别 用 命名 空间 级 别 所 有 权 
字符 'A' 'C' R'W' X' 表 示 ， 图 2 中 的 权限 集合 项 是 五 种 权限 Wi 限 
的 组 合 ， 例 如 : 'CR' 表 示 授 予 用 户 CREATE 和 READ 权限 。 二 授予 、 回 收 角色 /用 户 权 GRANT, REVOKE, 
本 文 扩展 设计 的 细 粒 度 权 限 个 数 较 多 ， 字 符 方式 表示 会 限 USER_PERMISSION 
使 得 权限 组 合 更 复杂 ， 意 义 不 明 确 。 为 此 ， 本 文采 用 权限 全 在 数据 库 中 运行 任何 
称 ， 逗 号 隔 开 的 方式 ， 例 如 : 'DELETE,CREATE,DROP' 表 示 ee DDL 指令 DPE 闫 州 所 各 权限 
授予 用 户 DELETE、CREATE 和 DROP 权限 。 qb_datawritert 。 派 加 、 删 除 或 更 改 数 据 pe DELETE, 
2 ”应 用 于 HBase 的 RBAC 模型 a 
本 文 1.3 节 扩展 的 细 粒 度 权 限 带 来 了 权限 控制 更 具体 ， En 
覆盖 面 更 广 的 优势 ， 也 造成 了 当 用 户 数量 增 大 ， 权 限 管理 难 
度 增 大 的 问题 ， 本 文 深入 研究 了 HBase 引入 的 RBAC 模型 ， “3 ”功能 实现 与 测试 
并 通过 内 建 数据 库 角色 集中 管理 扩展 后 的 细 粒 度 权 限 。 3.1 实验 环境 
2.1 HBase 用 户 组 机 制 实验 在 3 台 PC 机 搭建 的 集群 上 进行 ， 环 境 配置 如 下 : 
HBase 用 户 组 机 制 依赖 于 Hadoop 的 用 户 组 机 制 ,Hadoop Ubuntu 16.04 LTS, HBasel.2.6, Hadoop 2.7.6，Zookeeper 
的 用 户 组 机 制 依赖 于 Linux/UNIX 操作 系统 的 用 户 组 机 制 。 3.10.4，JDK 1.8。 集 群 为 主 从 节点 架构 ,包含 1 个 主 节点 ，2 
把 用 户 组 视 为 角色 ， 则 构建 起 HBase 中 用 户 与 角色 的 所 属 关 ”个 从 节点 。 
系 。 因 此 ， 基 于 HBase 用 户 组 机 制 实现 RBAC 模型 ， 需 在 。” 3.2 改写 源码 集成 细 粒 度 访问 控制 功能 
Linux/Unix 操作 系统 级 别 设置 用 户 和 用 户 组 信息 。 HBase 授权 / 撤 权 功能 是 向 ACL 表 写 入 /删除 授权 信息 。 
HBase 获取 到 用 户 信息 之 后 ， 根 据 用 户 名 在 操作 系统 中 如 图 4 所 示 是 授权 操作 执行 流程 。 源 码 修改 优化 需 完 成 以 下 
获取 到 所 属 的 用 户 组 集合 作为 该 用 户 的 角色 组 。 内 容 : 
2.2 HBase 中 的 RBAC 模型 a) 在 权限 列表 中 , 增加 2.3 节 划 分 的 细 粒 度 权 限 。 HBase 
参照 RBAC96 模型 02, 结合 2.1 节 对 HBase 用 户 组 机 制 。” 源码 中 使 用 Permission 类 定义 枚 举 类 型 变量 Action 来 保存 权 
的 分 析 , 本 文 归纳 出 如 图 3 所 示 的 应 用 于 HBase 的 RBAC 模 限 列 表 ， 使 用 Byte 数据 类 型 保存 权限 值 。 
型 。 b) 重 写 授 权 请 求 封 装 接口 , 保证 扩展 的 细 粒 度 权限 能 成 
关于 图 3 的 RBAC 模型 的 定义 如 下 : 功 写 入 到 授权 请 求 中 。 为 缓解 客户 端的 压力 ，HBase 把 访问 
四 元 组 (用 户 ， 角 色 ， 权 限 ， 会 话 )， 即 U0,R,P,S ; 空 制 器 部 署 在 集群 的 每 个 节点 上 。 客 户 端 接收 到 授权 命令 后 
权限 分 配 PasPxR ， 角 色 与 权限 是 多 对 多 的 关系 ; 按照 授权 内 容 封装 请 求 ， 然 后 通过 HBase 的 二 层 查询 技术 找 
用 户 分 配 VASUxR， 用 户 与 角色 是 多 对 多 的 关系 ; 到 操作 请 求 执行 的 节点 ， 将 操作 请 求 发 送 到 该 节点 后 ， 访 问 
user:S 0 ,每 一 个 会 话 5 映射 到 一 个 单 用 户 wser(s) ; 空 制 器 将 捕获 操作 请 求 ， 判 定 是 否 有 GRANT 权限 ， 进 而 控 
roles:S>2* ,每 一 个 会 话 5s 映 射 到 一 个 角色 子 集 制 是 否 执行 授权 操作 。 
roles(si)S {rl(user(s),r)eUA} ,并 会 话 s 具有 权限 c) 重 写 访问 控制 器 。 访问 控制 器 继承 自 协 处 理 器 ,提供 
Uieout{P|(P,r)sP4} ; 如 prePut、preDelete 等 预 处 理 方 法 拦截 数据 库 操 作 put delete 
通过 角色 可 把 用 户 与 权限 联系 起 来 ， 会 话 是 一 个 用 户 对 等 , 因此 可 在 prePut、preDelete 等 方法 中 执行 权限 判定 算法 ， 
多 个 角色 的 映射 ， 即 一 个 用 户 激 活 某 个 角色 子 集 ， 用 户 权 限 ” 达到 细 粒 度 权 限 访 问 控制 的 目的 。 
是 激活 的 各 角色 权限 的 并 和 集 [> 六 。 3.3 测试 方法 与 测试 结果 
2.3 内 建 数据 库 角色 本 文 的 测试 工作 包括 三 项 目标 :a) 测 试 2.3 节 设 计 的 所 有 
关系 型 数据 库 Microsoft SQL Server 是 最 成 熟 的 数据 库 ” 细 粒 度 权 限 ; b) 测 试 所 设计 的 细 粒 度 权限 在 各 授权 级 别 上 是 
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否 能 真实 有 效 地 达到 访问 控制 的 目的 ; c) 测 试 低 优先 级 能 否 如 表 6 所 示 为 执行 op7 操作 时 ,PUT 权限 判定 通过 与 否 ， 
继承 上 级 的 授权 。 P 表示 通过 ，R 表示 拒绝 。 

本 文 编写 客户 端 程序 调用 HBase 的 API 进行 测试 。 表 6 PUT 权限 控制 结 


Table 6 PUT permission control result 
全 局 。 ”命名 空间 。 表 列 族 列 
无 PUT 权限 R R R R R 
有 了 PUT 权限 P 2 P P P 
同 理 ， 对 于 DDL 权限 类 别 中 的 CREATE 权限 ， 其 功能 
是 控制 创建 表 操作 。 表 7 所 示 为 用 户 ul 在 命名 空间 ms7 中 执 


人 行 创 建 表 {2 操作 时 ，CREATE 权限 判定 通过 与 否 , P 表示 通 
过 ，R 表示 拒绝 。 
访问 控制 器 容 制 | 结 
捕获 授权 请 求 天 7 CREATE 权限 控制 结果 
Table7 CREATE permission control result 
全 局 命名 空间 
否 是 有 GRNAT 无 CREATE 权限 R R 
权限 ? 有 CREATE 权限 P P 
授权 信息 拒绝 授权 采用 以 上 方法 可 对 DML、 了 A Snapshot、 
写 入 ACL 表 抛 出 权限 否定 异常 Namespace、Tools 和 Quotas 权限 类 别 进行 测试 , 测试 步 又 根 
据 权 限 的 授权 级 别 做 相应 调整 ， 例 如 : 对 于 CREATE 权限 ， 


返回 结果 
给 客户 端 


只 需 测试 a)~c) 和 g) 步 又 。 
3.3.2 测试 有 


图 4 授权 操作 执行 流程 Endpoint 权限 类 别 只 包含 原 有 的 EXECUTE 权限 。 本 节 
Fig.4 Authorized operation execution process 测试 只 针对 EXECUTE 权限 进行 ， 该 权限 用 于 控制 用 户 是 否 
3.3.1 测试 | 可 以 执行 终端 类 型 0 的 协 处 理 器 。 
以 PUT 权限 为 例 PUT 权限 用 于 控制 数据 库 新 增 记录 操作 定义 ，op2 表示 用 户 wu2 执行 终端 类 型 的 协 处 理 器 ， 
操作 ， API 名 称 为 put 和 checkAndPut。 操作 定义 : op7 表示 。 ”用 于 计算 命名 空间 ns7 中 表 #1 的 记录 行 数 。 
用 户 wl 调用 put API 向 命名 空间 ms7 中 表 如 的 列 族 cf 的 列 终端 类 型 的 协 处 理 器 需要 与 HBase 的 域 服务 器 
color 新 增 一 条 记录 。 (RegionServer) 直接 通信 ， 本 节 测 试 编写 了 RPC 接口， 以 
测试 方法 描述 如 下 : 及 基于 RPC 接口 的 客户 端 和 服务 端 程序 。 
a) 不 授予 ul 任何 权限 ，ul 不 拥有 任何 角色 。 执 行 op7 测试 方法 描述 如 下 : 
操作 ， 系 统 应 抛 出 如 图 5 所 示 的 异常 信息 ， 否 则 访问 控制 失 a) 不 授予 u2 任何 权限 ，u2 不 拥有 任何 角色 。 执 行 op2 
败 。 操作 ， 系 统 应 抛 出 类 似 如 图 5 所 示 的 异常 信息 ， 否 则 访问 控 
b) 授 予 ul 在 全 局 级 别 上 有 PUT 权限， 执行 op7 操作 ， 制 失败 。 
不 抛 出 权限 异常 信息 则 表示 访问 控制 成 功 ， 否 则 访问 控制 失 b) 授 予 w2 在 全 局 级 别 上 有 EXECUTE 权限 , 执行 op2 操 
败 。 作 ， 不 抛 出 权限 异常 信息 则 表示 访问 控制 成 功 ， 否 则 访问 控 
c) 撤 销 wl 在 全 局 级 别 的 PUT 权限 ,授予 z 在 命名 空间 。” 制 失败 。 
ns7 级 别 有 PUT 权限 。 执 行 op7 操作 ， 不 抛 出 权限 异常 信息 c) 撤 销 z2 在 全 局 级 别 的 EXECUTE 权限 ， 授 予 w2 在 命 
则 表示 访问 控制 成 功 ， 否 则 访问 控制 失败 。 名 空间 ns7 级 别 有 EXECUTE 权限 。 执 行 op2 操作 ， 不 抛 出 
d) 撤 销 ul 在 命名 空间 nsl 的 PUT 权限 ,授予 1 在 命名 。 权限 异常 信息 则 表示 访问 控制 成 功 ， 否 则 访问 控制 失败 。 
空间 ms7 中 表 如 级 别 有 PUT 权限 。 执 行 op7 操作 ， 不 抛 出 d) 撤 销 z2 在 命名 空间 ms7 级 别 的 EXECUTE 权限 , 授予 
权限 异常 信息 则 表示 访问 控制 成 功 ， 否 则 访问 控制 失败 。 u2 在 命名 空间 nsl 中 表 如 级 别 有 EXECUTE 权限 。 执行 op2 
e) 撤 销 ul 在 命名 空间 nsl 中 表 4 级 别 的 PUT 权限 ， 授 。 操作， 不 抛 出 权限 异常 信息 则 表示 访问 控制 成 功 ， 否 则 访问 


予 u] 在 命名 空间 nsl 中 表 4 的 列 族 om 级 别 有 PUT 权限 。 控制 失败 。 


执行 op7 操作 ， 不 抛 出 权限 异常 信息 则 表示 访问 控制 成 功 ， e) 撤 销 z2 所 有 权限 ， 分 配 zx2 拥有 角色 role2。 用 户 授权 
否则 访问 控制 失败 。 蔡 换 为 角色 授权 ， 重 复 a)~d) 测 试 过 程 。 
撤销 wl 在 命名 空间 ns7 中 表 4 的 列 族 cfi 级 别 的 PUT 表 8 所 示 为 执行 op2 操作 时 ，EXECUTE 权限 判定 通过 
权限 ， 授 予 u7 在 命名 空间 ns7 中 表 鼠 的 列 族 cf 的 列 color ”与 否 ，P 表示 通过 ，R 表示 拒绝 。 
级 别 有 PUT 权限 。 执行 op7 操作 , 不 抛 出 权限 异常 信息 则 表 表 8 EXECUTE 权限 控制 结果 
示 访 问 控制 成 功 ， 否 则 访问 控制 失败 。 Table 8 EXECUTE permission control result 
撤销 ul 所 有 权限 ， 分 配 wl 拥有 角色 role7。 用 户 授权 全 局 命名 空间 表 
替换 为 角色 授权 ， 重 复 a)~) 测 试 过 程 。 无 EXECUTE 权限 R R R 
org.apache.hadoop.hbase.security.AccessDeniedException: 有 EXECUTE 权限 蜂 和 
Insufficient permissions (user=u], scope=ns1:1], family=cfl:color, 3.3.3 测试 结果 与 优势 分 析 
params=[table=ns1:t1,family=cfl:color], action=PUT,) 本 文 按 照 上 述 测 试 I 和 测试 HI 的 测试 过 程 完成 全 部 权限 节 
图 5 权限 判定 失败 返回 异常 信息 测试 工作 ， 测 试 结果 表明 ， 本 文 设 计 改进 的 细 粒 度 访问 控制 


Fig. 3 Permission judge failed to return exception information 方法 解决 了 HBase 原 有 粗 粒 度 访 问 控 制 方法 的 次 端 ， 细 粒度 


录用 定稿 黄 良 强 ， 等 : 基于 HBase 的 细 粒 度 访问 控制 方法 研究 第 37 卷 第 3 期 
化 后 的 权限 能 真实 有 效 地 达到 对 | 户 操作 请 求 进行 访问 控制 [4] Apache HBase Team. Apache HBase reference guide, version 1. 2.6 
的 目的 ， 提 升 了 集群 和 数据 库 的 安全 性 。 [EB/OL]. (2017) [2018-07-15]. http://hbase. apache. org/book. html. 


文献 [10] 的 测试 结果 暴露 出 权限 之 间 存 在 包含 的 关系 ， 
如 拥有 SCAN 权限 不 仅 可 以 执行 scan 操作 也 可 以 执行 get 操 
。 与 文献 [10] 相 比 ， 本 文 设 计 的 测试 方法 从 权限 控制 级 别 
户 角 色 两 个 方面 进行 了 细 粒 度 权限 测试 ， 测 试 内 容 更 全 
面 ， 证 明了 本 文 所 划分 的 细 粒 度 权 限 之 间 不 存在 依赖 和 包含 
的 关系 ， 全 方位 验证 了 本 文 设 计 的 细 粒 度 访问 控制 方法 的 优 
越 性 。 
3.4 时 间 性 能 分 析 
本 文 实现 的 细 粒 度 访问 控制 方法 是 基于 HBase 己 有 的 协 
处 理 器 技术 ， 通 过 重 定制 访问 控制 器 达到 控制 的 目的 ， 没 有 
额外 增加 控制 操作 过 程 ， 因 此 不 会 对 HBase 造成 额外 的 时 间 
性 能 开销 。 


4 ”结束 语 


本 文 在 深入 研究 HBase 源码 的 基础 上 , 对 HBase 的 访问 
控制 方法 进行 了 详细 的 分 析 ， 针 对 存在 的 粗 粒度 权限 问题 
给 出 细 粒 度 权限 划分 的 依据 , 解决 了 文献 [9,10] 没 有 给 出 划分 
依据 或 划分 依据 不 严谨 的 问题 。 分 析 了 HBase 中 的 RBAC 模 
通过 内 建 数 据 库 角 色 解 决 了 细 粒 度 权限 管理 难度 增 大 的 
能 更 集中 管理 扩展 后 的 细 粒 度 权限 。 通 过 扩展 权限 列 
表 、 重 定制 访问 控制 器 ， 能 真实 有 效 地 达到 细 粒 度 权 限 授权 
和 控制 的 目的 ， 有 效 降低 了 由 于 HBase 原 有 访问 控制 方法 导 
致 的 权限 过 大 而 可 能 造成 的 数据 安全 风险 。 本 文 提出 的 细 粒 
度 访 问 控制 方法 不 会 对 HBase 造成 额外 的 性 能 影响 。 

关于 NoSQL 数据 库 访问 控制 方法 的 研究 ， 目 前 国内 儿 
很 多 学 者 聚焦 基于 属性 的 访问 控制 (ABAC) 方法 ， 凸 显 出 
了 ABAC 方法 在 大 数据 应 用 场景 下 灵活 多 变 的 优势 。 关于 如 
何在 HBase 集成 使 用 ABAC 方 法 是 下 一 步 研 究 的 重点 。 此 外 ， 
关于 HBase 行 级 的 访问 控制 方法 研究 也 极 具 应 用 价值 。 
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